"Бухгалтерия и банки", 2006, N 9

ОРГАНИЗАЦИЯ КОМПЛАЙЕНС-КОНТРОЛЯ В РОССИЙСКИХ БАНКАХ

В настоящее время Банк России продолжает позитивную практику распространения рекомендаций, базирующихся на документах, разработанных Базельским комитетом по банковскому надзору.

Вслед за Положением ЦБ РФ от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (Положение N 242-П), во многом основанном на рекомендациях Базельского комитета по банковскому надзору (БКБН) "Система внутреннего контроля в банках: основы организации" (сентябрь 1998 г., БКБН 40) и "Внутренний аудит в банках и взаимоотношения надзорных органов и аудиторов" (август 2001 г., "БКБН 84") <1>, Банком России выпущен ряд документов, рассматривающих различные аспекты управления нефинансовыми рисками (в частности, операционным, правовым, репутационным рисками). Для банковского сообщества эти документы создают единый стандарт, на который можно ориентироваться при совершенствовании внутрибанковской системы контроля.

     
   ————————————————————————————————
   

<1> Названия документов цитируются по Письмам Банка России от 10 июля 2001 г. N 87-Т и от 13 мая 2002 г. N 59-Т "О рекомендациях Базельского комитета по банковскому надзору".

В то же время один из ключевых элементов, связанных с построением системы внутреннего контроля, остается в отечественном банковском регулировании в прежнем, не вполне четко регламентированном состоянии: имеются ссылки на его отдельные аспекты; в ряде случаев отдельные компоненты его встроены в функциональное "меню" иных сегментов системы внутреннего контроля. Речь идет о функции комплайенс-контроля как обособленном подразделении (или нескольких подразделениях), осуществляющих контроль за управлением правовыми и репутационными рисками.

Прежде чем перейти к подробному изложению особенностей регулирования комплайенс-функции, необходимо дать некоторые комментарии к термину "комплайенс".

Это калька от англ. compliance, что означает "соответствие каким-либо требованиям или нормам, внешним и внутренним". Хотя в российском законодательстве в настоящее время явно отсутствует этот краткий термин, в профессиональной среде понятие "комплайенс" давно устоялось (прежде всего, на фондовом рынке <2>, но также и в банках <3>) и даже использовалось Банком России в узком смысле в течение короткого периода времени (Указание ЦБ РФ от 7 июля 1999 г. N 603-У "О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях").

     
   ————————————————————————————————
   

<2> Каплун С. Проект IFC "Корпоративное управление в банковском секторе России". Контролер на рынке ценных бумаг, корпоративное управление и внутренний контроль в банках // Рынок ценных бумаг, 2005. N 23 (302).

<3> Куликова С.В. Актуальные вопросы комплайенс-контроля в банке. Доклад на семинаре Клуба банковских аналитиков "Проблемы анализа и управления рисками в деятельности кредитной организации".

В данной статье понятие "комплайенс" (комплайенс-контроль) также используется для краткого выражения одной из функции органов управления банка по обеспечению "соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации; исключения вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности, в том числе легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, а также своевременного представления в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России" <4>.

     
   ————————————————————————————————
   

<4> См. п. п. 1.2.3 и 1.2.4 Положения N 242-П.

Документы, регулирующие комплайенс

Для российских банков практические вопросы организации комплайенс-контроля подробно регулируются в основном двумя документами Банка России: Положением N 242-П и Письмом от 30 июня 2005 г. N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" (Письмо N 92-Т), а для некоторых банков также Положением "О внутреннем контроле профессионального участника рынка ценных бумаг", утвержденным Приказом Федеральной службы по финансовым рынкам от 21 марта 2006 г. N 06-29/пз-н (Положение N 06-29/пз-н).

Методической основой для Положения N 242-П и Письма N 92-Т явились БКБН 40, согласующиеся с Международными профессиональными стандартами внутреннего аудита <5>, и рекомендации "Функция комплайенс в банках", выпущенные в октябре 2003 г. (БКБН 103). В БКБН 103 <6> функция комплайенс определяется как "независимая функция, которая выявляет, оценивает, дает соответствующие советы, отслеживает и готовит отчеты в отношении риска комплайенс, определяемого как риск юридических или регулятивных санкций, финансовых убытков, урона репутации, которые могут быть обращены на банк в результате несоблюдения им законодательства, регулирования, кодекса поведения и стандартов хорошей практики".

     
   ————————————————————————————————
   

<5> В редакции, вступившей в силу с 2004 г. Перевод на русский язык выполнен Институтом внутренних аудиторов. http://www.iia-ru.ru.

<6> Перевод на русский язык приведен в статье Бортникова Г.П., консультанта группы управления проектами, Национальный банк Украины, "Комплайенс-риск (риск несоблюдения): международные стандарты и их применимость для банков в странах СНГ". http://www.iia-ru.ru/public/zar_smi/bortnikov.

Существует и более общее определение, данное Международной комплайенс-ассоциацией, не только для банковских организаций, предусматривающее в качестве главной задачи комплайенс-контролера (в оригинале - "комплайенс-служащего") обеспечение создания в организации системы внутреннего контроля, которая адекватно измеряет и управляет рисками, с которыми сталкивается организация.

Положением N 242-П в перечне подразделений и сотрудников, осуществляющих внутренний контроль (кроме органов управления, руководителей банка), определены несколько участников данного процесса, выполняющих частично функции комплайенс-контролера. В табл. 1 приведено краткое описание основных функций указанных сотрудников с комментариями о том, как их обязанности сочетаются с принятой международной практикой.

Участники функции "комплайенс" в российских банках

Таблица 1

     
   —————————————————————T—————————————————————T——————————————————————
   

Подразделение ¦ Функционал ¦Недостатки функционала

     
   —————————————————————+—————————————————————+——————————————————————
   

Служба внутреннего ¦Аналог функции ¦Ряд направлений

контроля ¦"Внутренний аудит" ¦деятельности допускают

(внутреннего аудита) ¦по стандартам ¦конфликт интересов

¦Института внутренних ¦в силу того, что

¦аудиторов плюс: ¦подразделению

¦- проверка ¦на практике

¦соответствия ¦предоставляются

¦внутренних документов¦как функции

¦нормативно-правовым ¦организации

¦актам, стандартам ¦и методологии системы

¦саморегулируемых ¦внутреннего контроля,

¦организаций ¦так и проверки

¦(для профессиональных¦указанных аспектов

¦участников рынка ¦

¦ценных бумаг) ¦

¦(п. 4.4.8); ¦

¦- оценка работы ¦

¦службы управления ¦

¦персоналом ¦

¦(п. 4.4.11); ¦

¦- другие вопросы ¦

¦(п. 4.4.12) ¦

     
   —————————————————————+—————————————————————+——————————————————————
   

Ответственный ¦- разработка и ¦Сфера компетенции

сотрудник ¦реализация правил ¦ограничена ПОД/ФТ

(структурное ¦внутреннего контроля ¦

подразделение) ¦в целях ПОД/ФТ, ¦

по противодействию ¦программ его ¦

легализации ¦осуществления и иных ¦

(отмыванию) доходов, ¦внутренних ¦

полученных преступным¦организационных мер ¦

путем, и ¦в указанных целях; ¦

финансирования ¦- организация ¦

терроризма ¦представления в ¦

(далее - ПОД/ФТ) ¦уполномоченный орган ¦

¦по ПОД/ФТ сведений в ¦

¦соответствии с ¦

¦Федеральным законом ¦

¦N 115-ФЗ и ¦

¦нормативными актами ¦

¦Банка России ¦

¦ ¦

     
   —————————————————————+—————————————————————+——————————————————————
   

Контролер ¦Проверка соответствия¦Сфера компетенции

профессионального ¦деятельности как ¦ограничена

участника рынка ¦профессионального ¦направлениями

ценных бумаг ¦участника рынка ¦деятельности

¦ценных бумаг ¦профессионального

¦требованиям ¦участника рынка

¦законодательства ¦ценных бумаг

¦РФ о ценных бумагах ¦

¦и защите прав ¦

¦и законных интересов ¦

¦инвесторов на рынке ¦

¦ценных бумаг, ¦

¦нормативно-правовых ¦

¦актов федерального ¦

¦органа исполнительной¦

¦власти по рынку ¦

¦ценных бумаг. ¦

¦Подробный функционал ¦

¦определен Положением ¦

¦ФСФР от 21 марта ¦

¦2006 г. N 06-29/пз-н ¦

     
   —————————————————————+—————————————————————+——————————————————————
   

Ответственный ¦- проверка соблюдения¦- не определен статус

сотрудник по правовым¦нормативно-правовых ¦данного подразделения

вопросам ¦актов, стандартов ¦(сотрудника). Авторам

¦саморегулируемых ¦доводилось встречаться

¦организаций (для ¦с таким

¦профессиональных ¦представлением, что

¦участников рынка ¦это "всего лишь другое

¦ценных бумаг), ¦название юридической

¦учредительных и ¦службы";

¦внутренних ¦- не определены

¦документов; ¦необходимые для

¦- "Рекомендации по ¦осуществления функций

¦организации ¦полномочия

¦управления правовым ¦и процедуры

¦риском..." ¦их реализации

¦(Приложение к Письму ¦

¦N 92-Т) предлагают ¦

¦возложить на ¦

¦подразделение ¦

¦(служащего) ¦

¦по управлению ¦

¦правовым риском ¦

¦организацию работы ¦

¦по минимизации ¦

¦правового риска ¦

     
   —————————————————————+—————————————————————+——————————————————————
   

Ряд комплайенс-задач в российских нормативных актах предусматривается аналогично тому, как рекомендовано БКБН 103, например, принципы "Знай своего клиента", "Знай своего сотрудника", подходы к управлению репутационным риском, комплекс функций по противодействию отмыванию доходов, полученных преступным путем (ПОД/ФТ), контроль за соблюдением законодательства о рынке ценных бумаг.

Однако Положение N 242-П и Письмо N 92-Т, а также Положение N 06-29/пз-н содержат некоторые позиции, которые могут стать причиной конфликта интересов и ограничением возможностей развития деятельности комплайенс-служб. Как можно видеть из приведенной таблицы, в рамках действующей нормативной базы банковского регулирования РФ функция "комплайенс" представлена не в том виде, как она описана в БКБН 103. В частности, в документах БКБН все более четко прослеживаются различия функций комплайенса и функций внутреннего аудита, смешанных в документах Банка России.

БКБН - новый взгляд

Особенно наглядно отсутствие и целостного, и четко структурированного подхода к указанной сфере контроля и управления рисками в нормативных документах в российских банках по сравнению с рекомендациями международных органов проявляется на фоне нового документа БКБН "Комплайенс и комплайенс-функция в банках" <7> (БКБН 113 <8>), пришедшего на замену БКБН 103.

     
   ————————————————————————————————
   

<7> Compliance and Compliance Function in Banks, апрель 2005 г.

<8> Неофициальный перевод данного документа будет опубликован в журнале "Бухгалтерия и банки",2006, N 10.

Полагаем, что по результатам обсуждения предварительной версии документа в БКБН была осуществлена необходимая конкретизация ряда ключевых аспектов функции "комплайенс" и принципов ее организации, более адекватным образом сгруппированы данные принципы. Усилено позиционирование комплайенс-контроля как риск-ориентированного процесса и одной из частей системы управления рисками (показательно, что слово "риск" в БКБН 103 упоминается 26 раз, а в БКБН 113 - 57 раз). Кроме того, независимость отдельной функции комплайенс в системе корпоративного управления в банке подчеркивается БКБН как один из наиболее важных факторов для обеспечения эффективного контроля за деятельностью организации со стороны собственников (см. проект документа БКБН "Совершенствование корпоративного управления в банках", п. 14 <9>). Таким образом, процесс работы над документом явился отражением движения от формального контроля в сторону построения системы управления рисками. В целом документ в новой версии стал более полным и детальным.

     
   ————————————————————————————————
   

<9> Enhancing corporate governance for banking organisations, июль 2005 г.

Связь с другими функциями и рисками

Комплайенс и внутренний аудит

Отдельного внимания заслуживает рассмотрение взаимодействия по линии "комплайенс - внутренний аудит" или применительно к нашей правовой среде "комплайенс - служба внутреннего контроля".

Фактически Положение N 242-П совершенно прямо и недвусмысленно представляет службе внутреннего контроля достаточно широкий объем полномочий, обеспечивает формальные (скажем так, потому что вопросы фактической реализации - на совести конкретных (в том числе, бывает, и "чисто конкретных") владельцев и менеджеров банков) критерии независимости данного подразделения, содержит в перечне функций СВК по сравнению с "чистым" внутренним аудитом, описанным в БКБН 40 и БКБН 84, "дополнительную нагрузку" в виде п. п. 4.4.8, 4.4.11 (см. таблицу).

Логично предположить, что таким образом службе внутреннего контроля вроде бы и все карты в руки, в том числе в вопросах осуществления значительной части функций комплайенса ("все равно же всех и все проверяют"). В то же время столь же очевидно, что невозможно одновременно и осуществлять независимую оценку качества внедрения методологии, и выстраивать и внедрять методологию управления комплайенс-риском, включающую:

- консультирование исполнительного руководства по правовым вопросам;

- помощь исполнительному руководству в проведении образовательных мероприятий по вопросам комплайенса, в издании письменных указаний по вопросам обеспечения соответствия законодательству, правилам и стандартам через политики и процедуры (в том числе руководства по проведению проверки соответствия им, кодексы этики);

- измерение и оценка комплайенс-риска, разработка системы индикаторов для оценки возможных проблем в сфере комплайенса.

Именно поэтому БКБН 113 (как, впрочем, и БКБН 103) содержит четкое требование, чтобы деятельность функции "комплайенс" во всем объеме подвергалась периодической проверке со стороны функции "внутренний аудит". И именно поэтому крайне сложно представить одновременное выполнение одним и тем же подразделением внутреннего контроля функций, указанных в п. п. 4.4.8 ("Проверка соответствия внутренних документов нормативным правовым актам, стандартам саморегулируемых организаций...") и 4.4.10 ("Проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения") того же Положения N 242-П.

В ряде практических рекомендаций по применению Международных профессиональных стандартов внутреннего аудита, выпущенных Институтом внутренних аудиторов, вопросу определения роли внутреннего аудитора в оценке системы внутреннего контроля и возможности достижения организацией комплайенс-целей уделяется большое внимание. В частности, можно упомянуть Рекомендации N 2100-5 и N 2120.A1-1:

- "Юридические вопросы при оценке программ соответствия установленным нормам";

- "Оценка и формирование отчетности по процессам контроля".

Имеется существенная разница между методологическими подходами, применяемыми при комплайенс-контроле и внутреннем аудите. Конечно, ряд процедур, осуществляемых комплайенс-функцией, в определенной степени близки к "чистому" внутреннему аудиту. В то же время разница между процедурой "аудит соответствия" и ролью внутреннего аудитора в целом хорошо иллюстрируется комментарием М. Симмонса <10>:

"Деятельность комплайенс состоит в том, чтобы определить нарушения или отклонения и там, где это необходимо, применить санкции, удержать платежи, добиться возмещения, определить и сообщить об ошибках персонала и т.д. Это - не внутренний аудит; и, что более важно, использовать эту методологию для проведения внутреннего аудита не особенно экономичный или эффективный способ определить систематические, критические для миссии [организации] проблемы контроля".

     
   ————————————————————————————————
   

<10> Simmons M.R. An Overview of the Professional Practice of Internal Auditing, 1998. http://www.facilitatedcontrols.com.

В интегрированной модели управления рисками организаций <11> также можно найти отличия между целями системы управления рисками, которые преследуют функции комплайенса и внутреннего аудита: цели внутреннего аудита шире целей службы комплайенс и включают также достоверность отчетности, эффективность и производительность, выполнение стратегических задач.

     
   ————————————————————————————————
   

<11> COSO ERM. Сентябрь 2004 г. Перевод на русский язык выполнен "Деллойт".

Таким образом, предполагаемое распределение "фронта работ" между функциями "комплайенс" и "внутренний аудит" лаконично можно сформулировать так:

- функция "комплайенс" играет определяющую роль в построении системы управления комплайенс-риском и организации текущего контроля процедур по управлению данной системой;

- функция "внутренний аудит" осуществляет независимую проверку данной системы, равно как и иных составных компонентов системы внутреннего контроля;

- между подразделениями существует тесная координация и обмен результатами контрольных мероприятий.

Хорошим подспорьем внутреннему аудитору, осуществляющему проверку деятельности комплайенс-подразделения, может послужить статья К. Стензгаард "Когда вы проверяли последний раз работу комплайенс-службы? <12>.

     
   ————————————————————————————————
   

<12> Stensgaard K. J. Have You Audited Your Compliance Department Lately? // Internal Auditor, April 2002.

Комплайенс на рынке ценных бумаг

В отношении кредитных организаций, являющихся одновременно профессиональными участниками рынка ценных бумаг, можно отметить некоторые дополнительные особенности регулирования комплайенс-функции. Федеральная служба по финансовым рынкам весьма жестко регулирует вопросы комплайенс-контроля и в банках. При этом, по нашему мнению, комплексного подхода со стороны регулятора не просматривается, а возможности для творческой и более эффективной реализации требований Положения N 06-29/пз-н у банков ограничены. Предыдущая версия документа ФСФР была издана в 2003 г., и в 2005 г. проводилась ревизия документа с привлечением к обсуждению профессионального сообщества. К сожалению, предложения специалистов-практиков в финальной версии документа ФСФР не нашли поддержки у регулятора, и документ остался практически в прежнем виде. Изменения коснулись только наиболее очевидных аспектов - ПОД/ФТ, ссылки на другие документы и т.д. Наиболее яркие недостатки Положения N 06-29/пз-н, в особенности применительно к банкам, состоят в следующем:

- не предусматривается организация внутреннего контроля профессионального участника рынка как системы. Соответственно, не дается описания основных компонентов системы внутреннего контроля: контрольная среда, выявление и оценка рисков, контрольные процедуры, мониторинг, соответствующего передовой, современной практике финансово-кредитных организаций и изложенного в документах международных профессиональных ассоциаций и регуляторов <13>. Место комплайенса в этой системе представлено весьма размыто;

- система внутреннего контроля по версии Положения N 06-29/пз-н состоит только из одного подразделения - контролера профессионального участника рынка, выполняющего только отдельные контрольные функции из всего комплекса функций, составляющих систему внутреннего контроля. В то же время очевидно, что функции внутреннего контроля осуществляются всеми сотрудниками организации, и прежде всего сотрудниками, не работающими в подразделении контролера;

- предусматривается возможность выполнения функций контролера руководителем службы внутреннего аудита банка, что создает риск недопустимого в данном случае совмещения противоречивых функций и потенциального конфликта интересов и противоречит современным принципам корпоративного управления, управления рисками и внутреннего контроля.

     
   ————————————————————————————————
   

<13> См. Enterprise Risk Management - Integrated Framework (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission, Сентябрь 2004. http://www.coso.org/ и Risk Management and Control Guidance for Securities Firms and their Supervisors. The Technical Committee of the International Organization of Securities Commissions, май 1998 г. http://www.iosco.org.

Работа с проверяющими органами

Весьма актуальным вопросом для ряда банков, прежде всего крупных, является определение оптимальной схемы взаимодействия с различными внешними проверяющими организациями: Банком России, налоговыми органами, Счетной палатой, прокуратурой и т.д., включая пожарников и санэпидемстанцию - полный их список, видимо, крайне затруднительно составить и самим государственным органам. Даже самые законопослушные банки сталкиваются с рядом практических сложностей в эффективной организации процесса взаимодействия с внешними органами:

- предоставление документов, зачастую в большом количестве и с дополнительными расшифровками, отнимает у "линейных" служб много ресурсов, а документы нужно представить точные и вовремя;

- часто возникают дискуссии по трактовке того или иного документа, решения, и в целях избежания необоснованных санкций и (или) потери репутации необходимо организовать обсуждение спорных вопросов на конструктивной основе; это отнимает также значительные ресурсы и требует навыков дипломатичного ведения самих переговоров;

- весьма важное значение и не менее значительный объем имеет работа по обобщению результатов работы внешних контролеров, по подготовке предложений по совершенствованию системы контроля; в особенности если в ходе проверок выявляются серьезные нарушения.

Очевидно, работа с проверяющими - одна из специфических черт служб комплайенса в российских банках. Эта работа зачастую также требует от координатора высокой квалификации и полномочий уровня высшего руководства. В разных банках функцию координации взаимодействия с внешними контролерами выполняют разные подразделения, наиболее часто встречающиеся случаи - служба внутреннего контроля или главный бухгалтер либо сразу несколько разных подразделений в зависимости от профиля работы проверяющего.

БКБН 113 предусматривает возможность выполнения такой координационной функции подразделением комплайенс: "42. Функция комплайенс <...> также может взаимодействовать с соответствующими внешними организациями, включая надзорные органы, органы установления стандартов и внешних экспертов".

Конечно, список проверяющих органов весьма индивидуален для каждого банка, и вряд ли уместно предлагать универсальную схему организации работы с внешними контролерами, но при значительных объемах бизнеса банка создание обособленного подразделения может быть весьма обоснованным. Эффективность такого координационного звена станет выше, если на него будут возложены функции координации остальных комплайенс-служб, всех вместе подотчетных одному из лиц, входящих в высшее руководство банка.

Комплайенс - ответственный за все и вся?

В соответствии с БКБН 113 не обязательно все обязанности в рамках функции "комплайенс" должны осуществляться единым "подразделением комплайенса". Однако в случае распределения функций между различными подразделениями необходимо обеспечить:

- четкое распределение ответственности между подразделениями;

- назначение ответственного лица в высшем руководстве за выполнение функции "комплайенс" в целом (руководителя комплайенс-функции);

- необходимые механизмы сотрудничества между подразделениями и руководителем функции "комплайенс", достаточные для исполнения последним своих обязанностей.

Исходя из сложившейся в российских банках типизации функций можно контурно обозначить возможные направления взаимодействия между различными компонентами функции "комплайенс" и иными функциональными направлениями деятельности банка (и соответствующими им структурными единицами) следующим образом (табл. 2).

Таблица 2

     
   —————————————————————T————————————————————————————————————————————
   

Функция/подразделение¦ Компетенция

     
   —————————————————————+————————————————————————————————————————————
   

Комплайенс-контроль ¦Раскрытие информации о соблюдении

профессионального ¦разграничений между клиентскими

участника рынка ¦и собственными операциями, о существенных

ценных бумаг ¦событиях, манипулировании ценами,

¦нарушениях и результатах рассмотрения

¦обращений, заявлений и жалоб клиентов,

¦также указываются сроки предоставления

¦типовых отчетов, приводится реклама

     
   —————————————————————+————————————————————————————————————————————
   

Финансовые ¦Достоверность информации об операциях

(операционные) ¦в системах учета. Сведения о нарушениях

риски и отчетность ¦и рисках в процедурах контроля за

¦финансовыми рисками и при формировании

¦отчетности; сведения о рисковых событиях

¦и убытках, методологии их оценки

     
   —————————————————————+————————————————————————————————————————————
   

ПОД/ФТ ¦Выявление клиентов и операций, подверженных

¦риску, несоответствия во внутренних

¦процедурах и действиях сотрудников,

¦влекущего за собой риск применения санкций

¦и потери репутации

     
   —————————————————————+————————————————————————————————————————————
   

Валютный контроль ¦Выявление клиентов и операций, подверженных

¦риску, несоответствия во внутренних

¦процедурах и действиях сотрудников,

¦влекущего за собой риск применения санкций

¦и потери репутации

     
   —————————————————————+————————————————————————————————————————————
   

Юридическая служба ¦Информация о внутренних и внешних правовых

¦конфликтах, данные о состоянии внутренней

¦и внешней нормативной базы, проекты

¦нормативных документов. Правовая оценка

¦нарушений, выявляемых функцией "комплайенс"

¦и иными подразделениями, для принятия

¦дальнейших юридических действий и правовых

¦последствий. Законодательство о рекламе

¦и антимонопольное

     
   —————————————————————+————————————————————————————————————————————
   

Обеспечение ¦Сведения о возможных и выявленных

безопасности ¦злоупотреблениях, нарушениях защиты

¦информации (в том числе в

¦автоматизированных информационных системах)

¦и активов (в том числе

¦при контроле физического доступа к объектам)

     
   —————————————————————+————————————————————————————————————————————
   

Управление персоналом¦Распространение кодексов поведения,

¦закрепление необходимых требований

¦в контрактах, а также отдельные вопросы

¦обучения, оценки персонала

     
   —————————————————————+————————————————————————————————————————————
   

Подразделение по ¦Представление документов по запросам

взаимоотношениям ¦внешних контролирующих органов, обобщение

с проверяющими ¦информации о нарушениях, координация усилий

органами ¦различных подразделений в спорных ситуациях

     
   —————————————————————+————————————————————————————————————————————
   

Вышеприведенный перечень не является, по-видимому, исчерпывающим и может быть уточнен и дополнен с учетом индивидуальных особенностей каждого конкретного банка. Например, в перечне отсутствует "ответственный сотрудник по правовым вопросам", упомянутый в Положении N 242-П, руководитель высшего звена (член правления), выполняющий координационные функции, и некоторые другие должности, выполняющие локальные функции комплайенс-контроля, например сотрудники бухгалтерской службы.

Практика показывает, что данные принципы вполне реализуемы. В частности, заслуживает внимания существующий опыт организации подразделения комплайенса в рамках финансовой группы "Уралсиб" и взаимодействия подразделения комплайенс с другими подразделениями (дирекцией аудита СВК, управлением персонала, юридическим центром, службой содействия бизнесу) <14>.

     
   ————————————————————————————————
   

<14> Катышева И.Ю. "Опыт организации комплайенс-контроля в рамках СВК: основные принципы и стандарты комплайенс-контроля". Доклад на заседании Института внутренних аудиторов, 29 ноября 2005 г. http://www.bankir.ru/analytics/svk/216/43019.

Кроме того, следует обратить внимание на опыт аналогичной работы по адаптации практики национальных банковских систем к международным стандартам в тех странах, где издавна существуют различные контрольные функции (подразделения) с различным наполнением функциями в области именно комплайенса. Наиболее характерные примеры такого комплексного подхода к построению комплайенс-функции - финансовые системы США, а также ряда европейских стран, прежде всего Франции. Требования к организации комплайенс-контроля в банках США (включая особенности сертифицирования специалистов комплайенса) приведены в упомянутой работе Бортникова Г.П., и материалах Международной комплайенс-ассоциации <15>, а весьма подробный сравнительный обзор состояния законодательства в области комплайенса в европейских странах содержится в исследовании Банковской комиссии Франции "Комплайенс-функция в банках и инвестиционных компаниях" <16>.

     
   ————————————————————————————————
   

<15> International Compliance Association. http://www.int-comp.org.

<16> The compliance function in banks and investment companies. Годовой отчет Банковской Комиссии Франции за 2003 г. Июль 2004 г. http://www.banque-france.fr/gb/supervi/supervi_banc/report_2003.htm.

Как обычно... что делать?

В сложившейся ситуации особенно очевидными становятся меры, предлагаемые, в частности, Институтом внутренних аудиторов <17>, по уточнению (в нормативных документах и на практике) ряда аспектов Положения N 242-П, подразумевающие более четкое разделение функций внутреннего аудита и иных аспектов внутреннего контроля, в том числе:

- введение вместо подробных единообразных требований регулятора к системе внутреннего контроля (в том числе в виде рекомендаций, которые в интерпретации сотрудников Банка России "на местах" иногда приобретают императивный оттенок) отраслевых стандартов, разработанных с участием профессионального сообщества, Банка России, ФСФР, иных заинтересованных сторон. Подобные стандарты, основанные на единых принципах, но без излишней детализации, в то же время помогут каждому банку сформировать систему внутреннего контроля, действительно соответствующую целям и масштабам его бизнеса;

- изменение определения внутреннего аудита в целях его приближения к определению, основанному на Международных профессиональных стандартах внутреннего аудита, а также соответствующему рекомендациям БКБН 84 (п. 9);

- введение по тексту Положения N 242-П сочетания "служба внутреннего аудита" вместо терминологически и функционально вводящей в заблуждение относительно распределения ролей в системе внутреннего контроля "службы внутреннего контроля". При этом предлагается оставить на усмотрение банков сохранение службы внутреннего контроля в качестве специализированного подразделения, выполняющего координирующие функции по созданию системы внутреннего контроля, и при необходимости осуществляющего независимый контроль отдельных операций банка. Функционал такой СВК вполне может являться, например, базой для организации функции "комплайенс".

     
   ————————————————————————————————
   

<17> Письма Института внутренних аудиторов: "О проекте Рекомендаций по организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" от 14 мая 2004 г. и "О внесении изменений и дополнений в Положение ЦБ РФ от 16 декабря 2003 г. N 242-П" от 25 мая 2005 г. N ЦБ-6. http://www.iia-ru.ru.

В развитие указанных предложений целесообразно, по мнению авторов, уточнение определений, роли и структуры подразделений, связанных с функцией "комплайенс". В частности, следует:

- вместо аморфного "ответственного сотрудника по правовым вопросам" (ч. 2 п. 2.2.3 Положения N 242-П) ввести отдельным пунктом определение руководителя функции "комплайенс", соответствующее БКБН 113;

- указать на необходимость выполнения требований о независимости данной функции, с их раскрытием в отчетности в соответствии с принципом 5, п. п. 23 - 32 БКБН 113;

- указать на необходимость функциональной отчетности (и возможность организационного подчинения) руководителю функции "комплайенс" иных подразделений и сотрудников, осуществляющих, в частности, контроль за ПОД/ФТ, и комплайенс-контроль профессиональной деятельности на рынке ценных бумаг, юридическую поддержку, управление правовыми рисками.

По мнению авторов, необходимость в адекватном отражении принципов организации и процедур осуществления функции "комплайенс" в нормативной базе банковского регулирования и профессиональных стандартах банковского сообщества действительно назрела, а реализация предлагаемых мер вполне возможна и в конечном итоге действительно повысит эффективность банковского бизнеса.

А.Акулов

Дипломированный внутренний аудитор

ОАО "Внешторгбанк"

Д.Малыхин

Дипломированный внутренний аудитор

ОАО "Россельхозбанк"

Н.Рыжих

BSGV,

управление рисков

Подписано в печать

18.08.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——